CN109561097A - 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 - Google Patents
结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109561097A CN109561097A CN201811541761.2A CN201811541761A CN109561097A CN 109561097 A CN109561097 A CN 109561097A CN 201811541761 A CN201811541761 A CN 201811541761A CN 109561097 A CN109561097 A CN 109561097A
- Authority
- CN
- China
- Prior art keywords
- source
- address
- access request
- request quantity
- preset condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的实施例提供了用于检测SQL注入安全漏洞的方法、装置、设备及存储介质,其在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;选出其访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度大的源IP地址;检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否比较均匀,从而判断该网络接口是否存在安全漏洞。本发明实施例的技术方案根据网络接口流量统计特征来检测SQL注入安全漏洞,能有效避免现有的基于数据包括内容进行规则匹配的检测方案中可能导致的误报或漏报的情况。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及用于检测结构化查询语言(StructuredQuery Language,SQL)注入攻击的方法、装置、设备及存储介质。
背景技术
SQL注入通常是利用web应用在开发过程中由于对特定请求的不当处理而产生的安全漏洞来进行攻击,其直接后果可能造成该web系统数据库中的数据被全面盗取。业界多次较为严重的数据泄露事件,都是由于SQL注入攻击安全漏洞所导致的。SQL注入常用的攻击方式是通过把SQL命令插入到页面表单提交,或输入域名或页面请求的查询字符串中提交,并欺骗后台服务器执行该恶意的SQL命令以达到窃取数据的目的。
现有的检测SQL注入的技术方案主要采用基于规则匹配方式,对网络接口接收到访问请求的内容进行解析,用事先定义好的规则进行匹配,如果匹配成功则认定为黑客对该网络接口发起了SQL注入漏洞,如果不匹配则判定该请求为安全请求。这种匹配规则具有较大的主观性,很可能由于规则的不完善而导致漏报或误报的情况;并且攻击者很容易通过不断修改访问请求内容来隐藏其攻击行为。
发明内容
因此,本发明实施例的目的在于克服上述现有技术的缺陷,提供一种用于SQL注入安全漏洞检测的方法、装置、设备及存储介质,以有效检测网站服务系统中可能存在的SQL注入安全漏洞。
上述目的是通过以下技术方案实现的:
根据本发明实施例的第一方面,提供了一种用于检测SQL注入安全漏洞的方法,包括:在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。
在本发明的一些实施例中,所述第一预设条件可以为来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。
在本发明的一些实施例中,所述第一预设条件可以为来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。
在本发明的一些实施例中,所述第二预设条件可以为所述其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。
在本发明的一些实施例中,所述第二预设条件可以为所述其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。
在本发明的一些实施例中,该方法还可包括:对于其访问请求数量满足第一预设条件的源IP地址,比较来自该源IP地址的各个访问请求中涉及的访问路径和访问参数,若访问路径相同但访问参数不断变化,则生成该网络接口正在受到来自该源IP地址的SQL注入攻击的提示并输出所涉及的访问路径。
在本发明的一些实施例中,该方法还可包括:对于其访问请求数量满足第一预设条件的源IP地址,判断在所监控的其他各个网络接口是否收到来自该源IP地址的访问请求;以及向已经收到来自该源IP地址的访问请求的网络接口发出警告信息。
根据本发明实施例的第二方面,提供了一种用于检测SQL注入安全漏洞的装置,包括流量统计模块和漏洞检测模块。其中流量统计模块用于在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量。漏洞检测模块用于判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。
根据本发明实施例的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被执行时实现如上述实施例第一方面所述的方法。
根据本发明实施例的第四方面,提供了一种电子设备,包括处理器和存储器,其中存储器用于存储可执行指令;所述处理器被配置为经由执行所述可执行指令来实现如上述实施例第一方面所述的方法。
本发明实施例提供的技术方案可以包括以下有益效果:
本发明实施例的技术方案从新的角度来检测SQL注入攻击,不需分析收到的请求的内容,而是通过分析网络流量统计层面的特征来发现网络接口可能存在的SQL注入安全漏洞,不仅能有效避免现有的基于内容的规则匹配方案中由于规则不完善导致的误报或漏报的情况,而且使得攻击者无法通过修改攻击数据包的内容来隐藏其SQL注入攻击行为。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
在附图中:
图1示出了根据本发明一个实施例的用于检测SQL注入安全漏洞的方法的流程示意图。
图2示出了根据本发明一个实施例的用于检测SQL注入安全漏洞的装置的功能模块示意图。
具体实施方式
为了使本发明的目的,技术方案及优点更加清楚明白,以下结合附图通过具体实施例对本发明进一步详细说明。应当理解,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动下获得的所有其他实施例,都属于本发明保护的范围。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
如在背景技术部分提到的,现有的检测SQL注入的技术方案主要采用基于规则匹配方式。很可能由于规则的不完善而导致漏报或误报,并且攻击者很容易通过不断修改访问请求内容来隐藏其攻击行为。为解决这些问题,发明人尝试从另一个角度来检测网站服务系统可能存在的SQL注入安全漏洞,提出了通过分析经过网络接口的网络流量统计层面的特征来识别SQL注入安全漏洞的方案。发明人在研究中发现正常情况下访问http接口的请求的源IP地址的范围分布很广,并且来自各个源IP地址的http请求的数量相对分布比较均匀。而针对网络接口存在的SQL注入安全漏洞,发起的SQL注入攻击行为的网络数据流量的统计层面通常表现在该接口来自绝大多数源IP地址的http请求数量仍分布比较均匀,但个别源IP地址(常局限在1-2个源IP地址)会向该接口发送大量的http请求,访问请求涉及的路径常常相同,而请求的参数变化很大。由此,可以通过对流量统计层面的特征的对比分析来检测SQL注入安全漏洞。
图1给出了根据本发明一个实施例的用于检测SQL注入安全漏洞的方法的流程示意图。该方法主要包括:步骤S101,在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;步骤S102,判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中第一预设条件用于指示来自所选出的源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;步骤S103,若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。该方法的执行主体可以是服务器或用于提供网络服务或监控服务的任何一个或多个计算装置及其组合。
更具体地,在步骤S101在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量。可以同时监控一个或多个网络接口。所监控的网络接口可以是HTTP接口,也可以是易于受到SQL注入攻击的其他类型的网络接口。为方便,下文均以HTTP接口为例来进行说明。可以定期地或每隔一定时间段对于所监控的每个网络接口,统计在该网络接口收到的访问请求,并基于每个访问请求的源IP地址来分别统计来自各个源IP地址的访问请求数量。该统计过程可以是基于对每个网络接口实时采集的流量而执行的。或者也可以是对经由各个网络接口的流量进行镜像,将镜像后的流量传输至专用的监控装置或监控应用来执行相关统计。其中时间段的长度可以根据实际的检测需求来设置,例如10分钟、20分钟、1小时、2小时等等,在本文中对此不进行限制。
继续参考图1,在步骤S102判断是否存在其访问请求数量满足第一预设条件的源IP地址。其中第一预设条件用于指示来自某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度。也就是通过第一预设条件选出与该网络接口绝大多数源IP地址的访问请求数量不同的、可能存在突发异常现象的源IP地址。在一个实施例中,第一预设条件可以是指来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍或更多。来自某个源IP地址的访问请求数量如果达到第一预设条件,意味着该源IP地址向该网络接口发起的请求突然增多,远超过去的平均访问请求量。因此,该源IP地址存在SQL注入攻击的嫌疑。在又一个实施例中,第一预设条件可以指来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍或更多。因此,通过该第一预设条件,从统计来自各个源IP地址的访问请求数量中发现异常值,而该异常值对应的源IP地址可能存在SQL注入攻击的嫌疑。
在S103,若经步骤S102判断出存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞。其中第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。也就是通过第二预设条件来判断除了在步骤S102选出的源IP地址之外,来自其余各个源IP地址的访问请求数量是否分布比较均匀。在一个实施例中,第二预设条件可以指其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍或更少。在又一个实施例中,第二预设条件可以指其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍或更少。通过上述第二预设条件,可以反映出在该网络接口当前统计的来自多数源IP地址的访问请求数量与之前相比变化不大。因此,进一步验证了步骤S102所选出的源IP地址的异常性。
如果在某个网络接口上述的第一预设条件和所述第二预设条件都满足,则可以提示该网络接口可能存在安全漏洞。也就是说在所监控的网络接口,存在满足第一预设条件的访问请求量突然大量增多的源IP地址,而来自其余源IP地址的访问请求数量满足第二预设条件,相较于之前多次统计的访问量的平均水平变化不大,则可以基本确定该网络接口存在安全漏洞,正在受到SQL注入攻击,并由此可以生成相关的检查结果报告或警报信息。例如,以提供多个网络接口的网络服务系统A为例,通常情况下A系统中各个接口接收到的http请求的源IP地址分布较为均匀,针对每个网络接口来自不同源IP地址发起的http请求数量分布也较为均匀,但如果来自IP地址(xx.xx.xx.xx)访问A系统某个网络接口的http请求突然大量增多,而同时其他多个源IP地址的访问该网络接口的http请求数量与之前相比变化不大。根据这样的流量统计特征,基本可以判断A系统的该网络接口可能正在遭受SQL注入攻击,该网络接口存在SQL注入安全漏洞。
在前述实施例的技术方案中不需解析收到的访问请求的内容,而是通过分析网络流量统计层面的特征来发现网络接口可能存在的SQL注入安全漏洞,不仅能有效避免现有的基于内容的规则匹配方案中由于规则不完善导致的误报或漏报的情况,而且使得攻击者无法通过修改攻击数据包的内容来隐藏其SQL注入攻击行为。
在一些实施例中,为了进一步提高检测SQL注入安全漏洞的准确性,除了满足第一预设条件和第二预设条件之外,还可以对于所选出的其访问请求数量满足第一预设条件的源IP地址,分析来自该源IP地址的各个访问请求中涉及的访问路径和访问参数,若访问路径相同但访问参数不断变化,则生成该网络接口正在受到来自该源IP地址的SQL注入攻击的提示并输出所涉及的访问路径。以采用GET方式的http请求为例,www.xxx.com/yyy/zzz/kkk.jsp?id=100&op=bind其中访问路径和参数列表及对应值附加在URL后面。如果是来自恶意IP地址的具有攻击行为的访问请求,则这些请求的共同点是访问路径相同,而请求的参数不断在变化。因此,对于所选出的满足第一预设条件的源IP地址,可以通过比较该源IP地址发出的各个访问请求中访问路径和访问参数来进一步判断或验证来自该源IP地址的访问请求是否具有SQL注入攻击行为,从而在一定程度上可以降低误报率,提高检测SQL注入的准确性。
在一些实施例中,为了进一步提高检测SQL注入安全漏洞的准确性,除了满足第一预设条件和第二预设条件之外,对于在某个网络接口所选出的其访问请求数量满足第一预设条件的源IP地址,也可以通过判断在所监控的其他各个网络接口是否收到来自该源IP地址的访问请求来进一步验证该源IP地址是否异常。通常情况下,对于一个网络服务系统,其各个网络接口收到的访问请求量以及访问这些接口的IP地址也是比较分散的。但如果仅在某个网络接口收到大量的来自某个源IP地址的请求,而在其他网络接口收到的来自该源IP地址的访问请求非常少或几乎没有,那么该网络接口受到来自该源IP地址的SQL注入攻击的可能性很大。另外,当在某个网络接口判断来自某个源IP地址的访问请求具有攻击行为时,可以向其他网络接口发出关于该源IP地址的警告信息,以便通知这些网络接口在收到来自该源IP地址的访问请求时,给出风险提示或者停止响应等,以改善网络服务系统整体的安全性。
在一些实施例中,为了进一步提高检测SQL注入安全漏洞的准确性,除了满足第一预设条件和第二预设条件之外,对于在某个网络接口所选出的其访问请求数量满足第一预设条件的源IP地址,还可以分析来自该源IP地址的各个访问请求中refer字段。通常http请求中的refer字段会指示用户上次访问的URL。例如,如果本次http请求的URL为购买商品的下单页面,则该请求头部的refer字段通常是所购买商品的商品详细介绍页面,也就是refer字段可以在一定程度上反映用户访问行为的关联性。而如果是来自恶意IP地址的具有攻击行为的访问请求,则无法在refer字段中体现这种关联性。因此,如果来自所选出的源IP地址的各个访问请求中refer字段的信息都是固定的或者refer字段为空,那么在一定程度上也证实了来自该源IP地址的各个访问请求的攻击行为。因此还可以通过比较所选出的满足第一预设条件的源IP地址发出的各个访问请求中的refer字段来进一步判断或验证来自该源IP地址的访问请求是否具有SQL注入攻击行为,从而在一定程度上可以降低误报率,提高检测SQL注入的准确性。
图2为根据本发明一个实施例的用于检测SQL注入安全漏洞的装置200的功能模块框图。尽管该框图以功能上分开的方式来描述组件,但这样的描述仅为了说明的目的。图中所示的组件可以任意地进行组合或被分为独立的软件、固件和/或硬件组件。而且,无论这样的组件是如何被组合或划分的,它们都可以在同一主机或多个主机上执行,其中多个主机可以是由一个或多个网络连接。
如图2所示,该装置200包括流量统计模块201和漏洞检测模块202。其中流量统计模块201如上文结合步骤S101所介绍的那样,在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量。对于流量统计模块201所统计的数据,漏洞检测模块201如上文结合步骤S102-103所介绍的那样,判断是否存在其访问请求数量满足第一预设条件的源IP地址;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞。其中第一预设条件用于指示来自某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。
在一个实施例中,第一预设条件可以为来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。
在一个实施例中,第一预设条件可以为来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍或更多。
在一个实施例中,第二预设条件可以为所述其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。
在一个实施例中,第二预设条件可以为所述其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。
在一个实施例中,漏洞检测模块202还可以对于所选出的其访问请求数量满足第一预设条件的源IP地址,比较来自该源IP地址的各个访问请求中涉及的访问路径和访问参数,若访问路径相同但访问参数不断变化,则生成该网络接口正在受到来自该源IP地址的SQL注入攻击的提示并输出所涉及的访问路径。
在一个实施例中,漏洞检测模块202还可以对于在该网络接口所选出的其访问请求数量满足第一预设条件的源IP地址,判断在所监控的其他各个网络接口是否收到来自该源IP地址的访问请求;以及向已经收到来自该源IP地址的访问请求的网络接口发出警告信息。
在本发明的又一个实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序或可执行指令,当所述计算机程序或可执行指令被执行时实现如前述实施例中所述的技术方案,其实现原理类似,此处不再赘述。在本发明的实施例中,计算机可读存储介质可以是任何能够存储数据且可以被计算装置读取的有形介质。计算机可读存储介质的实例包括硬盘驱动器、网络附加存储器(NAS)、只读存储器、随机存取存储器、CD-ROM、CD-R、CD-RW、磁带以及其它光学或非光学数据存储装置。计算机可读存储介质也可以包括分布在网络耦合计算机系统上的计算机可读介质,以便可以分布式地存储和执行计算机程序或指令。
在本发明的又一个实施例中,还提供了一种电子设备,包括处理器和存储器,其中所述存储器用于存储可由处理器执行的可执行指令,其中所述处理器被配置为执行存储器上存储的可执行指令,所述可执行指令被执行时实现前述任一实施例中介绍的技术方案,其实现原理类似,此处不再赘述。
本说明书中针对“各个实施例”、“一些实施例”、“一个实施例”、或“实施例”等的参考指代的是结合所述实施例所描述的特定特征、结构、或性质包括在至少一个实施例中。因此,短语“在各个实施例中”、“在一些实施例中”、“在一个实施例中”、或“在实施例中”等在整个说明书中各地方的出现并非必须指代相同的实施例。此外,特定特征、结构、或性质可以在一个或多个实施例中以任何合适方式组合。因此,结合一个实施例中所示出或描述的特定特征、结构或性质可以整体地或部分地与一个或多个其他实施例的特征、结构、或性质无限制地组合,只要该组合不是非逻辑性的或不能工作。
本说明书中“包括”和“具有”以及类似含义的术语表达,意图在于覆盖不排他的包含,例如包含了一系列步骤或单元的过程、方法、系统、产品或设备并不限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。“一”或“一个”也不排除多个的情况。另外,本申请附图中的各个元素仅仅为了示意说明,并非按比例绘制。
虽然本发明已经通过上述实施例进行了描述,然而本发明并非局限于这里所描述的实施例,在不脱离本发明范围的情况下还包括所做出的各种改变以及变化。
Claims (10)
1.一种用于检测SQL注入安全漏洞的方法,包括:
在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;
判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;
若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。
2.根据权利要求1所述的方法,其特征在于,所述第一预设条件为来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。
3.根据权利要求1所述的方法,其特征在于,所述第一预设条件为来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。
4.根据权利要求1所述的方法,其特征在于,所述第二预设条件为所述其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。
5.根据权利要求1所述的方法,其特征在于,所述第二预设条件为所述其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。
6.根据权利要求1所述的方法,其特征在于,还包括:
对于其访问请求数量满足第一预设条件的源IP地址,比较来自该源IP地址的各个访问请求中涉及的访问路径和访问参数,若访问路径相同但访问参数不断变化,则生成该网络接口正在受到来自该源IP地址的SQL注入攻击的提示并输出所涉及的访问路径。
7.根据权利要求1所述的方法,其特征在于,还包括:
对于其访问请求数量满足第一预设条件的源IP地址,判断在所监控的其他各个网络接口是否收到来自该源IP地址的访问请求;以及向已经收到来自该源IP地址的访问请求的网络接口发出警告信息。
8.一种用于检测SQL注入安全漏洞的装置,包括:
流量统计模块,用于在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;
漏洞检测模块,用于判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;以及若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,所述程序被执行时实现权利要求1-7中任一项所述的方法。
10.一种电子设备,包括处理器和存储器,其中存储器用于存储可执行指令;所述处理器被配置为经由执行所述可执行指令来实现权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811541761.2A CN109561097B (zh) | 2018-12-17 | 2018-12-17 | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811541761.2A CN109561097B (zh) | 2018-12-17 | 2018-12-17 | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109561097A true CN109561097A (zh) | 2019-04-02 |
| CN109561097B CN109561097B (zh) | 2021-05-25 |
Family
ID=65870196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811541761.2A Active CN109561097B (zh) | 2018-12-17 | 2018-12-17 | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109561097B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079148A (zh) * | 2019-12-24 | 2020-04-28 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
| CN112364348A (zh) * | 2020-11-30 | 2021-02-12 | 杭州美创科技有限公司 | 一种数据库安全异常识别方法及系统 |
| CN113438244A (zh) * | 2021-06-28 | 2021-09-24 | 安天科技集团股份有限公司 | 渗透测试方法、装置、计算设备及存储介质 |
| CN113783891A (zh) * | 2021-09-26 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种事件识别方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN102394786A (zh) * | 2011-12-14 | 2012-03-28 | 武汉钢铁(集团)公司 | 一种手持式网络协议及威胁分析仪 |
| US8225402B1 (en) * | 2008-04-09 | 2012-07-17 | Amir Averbuch | Anomaly-based detection of SQL injection attacks |
-
2018
- 2018-12-17 CN CN201811541761.2A patent/CN109561097B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8225402B1 (en) * | 2008-04-09 | 2012-07-17 | Amir Averbuch | Anomaly-based detection of SQL injection attacks |
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN102394786A (zh) * | 2011-12-14 | 2012-03-28 | 武汉钢铁(集团)公司 | 一种手持式网络协议及威胁分析仪 |
Non-Patent Citations (2)
| Title |
|---|
| 赵宇飞等: "面向网络环境的SQL注入行为检测方法", 《通信学报》 * |
| 郭杨民: "基于日志分析的SQL注入攻击检测方法", 《台州学院学报》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079148A (zh) * | 2019-12-24 | 2020-04-28 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
| CN111079148B (zh) * | 2019-12-24 | 2022-03-18 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
| CN112364348A (zh) * | 2020-11-30 | 2021-02-12 | 杭州美创科技有限公司 | 一种数据库安全异常识别方法及系统 |
| CN113438244A (zh) * | 2021-06-28 | 2021-09-24 | 安天科技集团股份有限公司 | 渗透测试方法、装置、计算设备及存储介质 |
| CN113783891A (zh) * | 2021-09-26 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种事件识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109561097B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561097A (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
| CN110472414B (zh) | 系统漏洞的检测方法、装置、终端设备及介质 | |
| US10812499B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
| US9800594B2 (en) | Method and system for detecting unauthorized access attack | |
| US9462009B1 (en) | Detecting risky domains | |
| CN108616529B (zh) | 一种基于业务流的异常检测方法及系统 | |
| CA2641656C (en) | Methods and system for determining performance of filters in a computer intrusion prevention detection system | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| CN104901971B (zh) | 对网络行为进行安全分析的方法和装置 | |
| CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN104753863B (zh) | 一种分布式拒绝服务攻击的防御方法、设备及系统 | |
| US20180234445A1 (en) | Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence | |
| CN106327324B (zh) | 一种网络行为特征的快速计算方法和系统 | |
| EP3085023B1 (en) | Communications security | |
| CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| Anuar et al. | Incident prioritisation using analytic hierarchy process (AHP): Risk Index Model (RIM) | |
| WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN110297846B (zh) | 一种日志特征处理系统、方法、电子设备及存储介质 | |
| CN110460481A (zh) | 一种网络关键资产的识别方法 | |
| CN111181978A (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN108683654A (zh) | 一种基于零日攻击图的网络脆弱性评估方法 | |
| CN117294517A (zh) | 解决异常流量的网络安全保护方法及系统 | |
| CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |